O Instituto Nacional de Tecnologia da Informação publicou a Portaria nº 78/25 que aprova a sua nova Política de Privacidade. A norma estabelece princípios diretrizes e regras aplicáveis a servidores colaboradores bolsistas terceirizados prestadores de serviços empresas contratadas e qualquer pessoa que mantenha vínculo com o ITI. O órgão quer assegurar o cumprimento integral da LGPD e das determinações da Autoridade Nacional de Proteção de Dados (ANPD) além de promover transparência responsabilização e boas práticas no uso de informações pessoais.
Segundo o documento todas as atividades de tratamento deverão seguir os fundamentos e princípios previstos na LGPD observando orientações da ANPD e normas internas. O ITI se compromete a adotar medidas que garantam privacidade desde a concepção e por padrão além de manter diligência contínua em todo o ciclo de tratamento dos dados. A política reforça a necessidade de escolher hipóteses legais adequadas implementar medidas técnicas e administrativas de segurança e manter registro detalhado das operações realizadas.
O tratamento de dados pelo ITI deverá sempre atender à finalidade pública e ao interesse coletivo focado no cumprimento de suas competências legais. O órgão poderá utilizar quaisquer hipóteses legais previstas na LGPD desde que trate apenas informações estritamente necessárias. O armazenamento deverá ocorrer de forma segura considerando o tipo de dado e o risco associado. Ao fim da finalidade os dados devem ser eliminados salvo hipóteses previstas em lei.
O uso compartilhado de dados pelo ITI obedecerá às finalidades específicas de execução de políticas públicas ou outras hipóteses legais respeitando os princípios da proteção de dados. Caso haja transferência internacional serão adotadas medidas para garantir conformidade com a LGPD e com o regulamento específico aprovado pela ANPD. O acesso aos dados pessoais ficará restrito a pessoas autorizadas e deve ser compatibilizado com o direito de acesso à informação previsto na Lei de Acesso à Informação.
O ITI também determinará cláusulas obrigatórias de proteção de dados em contratos convênios e instrumentos similares definindo responsabilidades de agentes envolvidos no tratamento. A instituição adotará medidas técnicas e administrativas para evitar acessos não autorizados incidentes acidentais ou ilícitos e qualquer forma de uso inadequado. Em operações que possam gerar riscos relevantes aos direitos fundamentais dos titulares o ITI elaborará relatórios de impacto conforme parâmetros internos e orientações da ANPD.
A política assegura que os titulares de dados terão seus direitos garantidos conforme a LGPD e poderão fazer solicitações por meio de requerimento dirigido ao encarregado pelo endereço privacidade@iti.gov.br
Essas solicitações não terão custo e devem ser respondidas dentro dos prazos legais. Pedidos recebidos por outros canais serão encaminhados ao encarregado para providências. Todos os envolvidos com o instituto terão dever de cuidado atenção e uso adequado das informações tratadas.
A política ainda define responsabilidades para o Comitê de Governança Estratégica o diretor presidente o encarregado agentes de proteção de dados chefias e colaboradores. O comitê deliberará sobre diretrizes estratégicas enquanto o diretor presidente designará o encarregado e garantirá recursos para a governança de dados.
O encarregado terá funções de atendimento ao titular coordenação de ações de adequação orientação das equipes elaboração e monitoramento da política. Os agentes de proteção apoiarão o encarregado e serão designados pelas chefias.
Cada unidade do ITI deverá conscientizar equipes garantir compreensão das normas incorporar boas práticas manter inventários de tratamento e comunicar incidentes de segurança. Servidores colaboradores e terceiros devem seguir a política adotar postura proativa preservar a integridade e sigilo dos dados não disponibilizar informações em desacordo com a lei e observar práticas estabelecidas de segurança.
A política também prevê ações de conscientização e capacitação a serem conduzidas pelo encarregado com apoio da diretoria competente e da assessoria de comunicação buscando fortalecer a cultura interna de privacidade. Violações à política poderão resultar em penalidades administrativas. Terceiros contratados estarão sujeitos ao que dispõem seus respectivos contratos e casos que envolvam ilegalidades ou riscos relevantes aos titulares poderão gerar responsabilização pelos prejuízos causados.
O documento determina ainda que a política deve ser revisada a cada dois anos ou quando houver mudanças normativas significativas.
